Kageshiron

**Name of the Vulnerable Software and Affected Versions** Qwik versions prior to 1.19.0 **Description** Qwik City’s server-side request handler inconsistently interprets HTTP request headers. This can be exploited by a remote attacker to bypass Cross-Site Request Forgery (CSRF) protections on forms using specifically crafted or multi-valued Content-Type headers. The `Content-Type` header is involved in this issue. **Recommendations** Update to version 1.19.0 or later.

**Nome do software vulnerável e versões afetadas** Versões do Astro anteriores à 4.16.17 **Descrição** Um bug no middleware de proteção contra CSRF do Astro permite que solicitações contornem as verificações de CSRF. Quando a opção de configuração `security.checkOrigin` está definida como `true`, o middleware do Astro realiza uma verificação de CSRF. No entanto, existe uma vulnerabilidade que permite contornar essa proteção. É permitido um parâmetro delimitado por ponto-e-vírgula após o tipo em `Content-Type`. Os navegadores da Web tratarão um `Content-Type` como `application/x-www-form-urlencoded; abc` como uma solicitação simples e não realizarão a validação prévia. Nesse caso, o CSRF não é bloqueado como esperado. Além disso, o cabeçalho `Content-Type` não é obrigatório para uma solicitação. **Recomendações** Para versões anteriores à 4.16.17, atualize para a versão 4.16.17 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da opção de configuração `security.checkOrigin` até que um patch esteja disponível. Evite usar o cabeçalho `Content-Type` com um parâmetro delimitado por ponto-e-vírgula nos pontos de extremidade da API afetados até que o problema seja resolvido. Restrinja o acesso ao middleware Astro para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Hono anteriores à 4.6.5 **Descrição** A vulnerabilidade permite que um invasor contorne a proteção contra falsificação de solicitação entre sites (CSRF) implementada com o middleware CSRF do Hono, enviando uma solicitação sem um cabeçalho Content-Type. Embora o middleware CSRF verifique o cabeçalho Content-Type, o Hono considera uma solicitação sem esse cabeçalho como segura. Isso pode ser explorado usando a API fetch, que não adiciona um cabeçalho Content-Type para solicitações sem corpo. **Recomendações** Para versões do Hono anteriores à 4.6.5, atualize para a versão 4.6.5 para corrigir a vulnerabilidade. Como solução temporária, considere implementar validação adicional para solicitações sem um cabeçalho Content-Type para impedir a contornamento da proteção contra CSRF. Restrinja o acesso a endpoints confidenciais que dependem do middleware CSRF do Hono até que a atualização seja aplicada.